VírusTR/Dldr.FraudLoa.EF
Data em que surgiu:12/12/2008
Tipo:Trojan
Subtipo:Downloader
Incluído na lista "In The Wild"Sim
Nível de danos:Baixo
Nível de distribuição:Baixo
Nível de risco:De baixo a médio
Ficheiro estático:Sim
Tamanho:135.168 Bytes
MD5 checksum:dfe9f891d747ea09df8496285378e18e
Versão IVDF:7.01.00.225 - sexta-feira, 12 de dezembro de 2008

 Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação


Alias:
   •  Symantec: Antivirus2009
   •  Kaspersky: Trojan-Downloader.Win32.FraudLoad.vecg
   •  F-Secure: Trojan-Downloader.Win32.FraudLoad.vecg
   •  Sophos: Mal/FakeAV-I
   •  Panda: Adware/Xpantivirus2008
   •  Grisoft: FakeAlert.DR


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega um ficheiro malicioso
   • Altera o registo do Windows


Depois de executado é visualizada a seguinte informação:


 Ficheiros É criado o seguinte ficheiro:

%directório de execução do malware%\$$$$$$$$.bat Além disso executa-se depois de gerado. Este ficheiro de processamento em lote é usado para apagar um ficheiro.



Tenta efectuar o download do ficheiro:

– A partir da seguinte localização:
   • http://securedupdatedownloads.com/**********/av_2009glof.exe
Encontra-se no disco rígido: %PROGRAM FILES%\Antivirus 2009\av2009.exe Além disso executa-se depois do download estar completo. Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Fakealert.MT

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%números aleatórios entre 0 e 9%"="C:\Program Files\\Antivirus 2009\\av2009.exe"

 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em Delphi.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Thomas Wegele em quinta-feira, 18 de dezembro de 2008
Descrição atualizada por Thomas Wegele em quinta-feira, 18 de dezembro de 2008

Voltar . . . .